Cilium 1.17.0-rc.2 版本深度解析：网络策略与性能优化

Cilium 作为云原生领域领先的网络、安全和可观测性解决方案，其基于 eBPF 技术构建的数据平面为 Kubernetes 集群提供了高效的网络通信和安全策略能力。最新发布的 1.17.0-rc.2 版本带来了多项重要改进，特别是在网络策略验证、性能优化和稳定性方面有显著提升。

网络策略增强与验证机制

本次版本在网络策略方面进行了重要改进。系统现在要求所有网络策略必须至少定义 Ingress、IngressDeny、Egress 或 EgressDeny 规则中的一个，这确保了策略的明确性和有效性。同时，新增了对 IngressDeny 和 EgressDeny 规则的验证机制，使得拒绝规则能够像允许规则一样得到严格校验。

值得注意的是，该版本开始弃用 toRequires 和 fromRequires 字段，开发者应逐步迁移到更现代的替代方案。这些变更使得网络策略配置更加规范，减少了因配置不当导致的安全隐患。

核心性能优化

在性能方面，1.17.0-rc.2 版本有多项重要改进：

1. 策略处理优化：通过减少接口类型使用和淘汰 MapStateOwners，显著降低了内存分配，提升了策略处理效率。

2. 会话亲和性改进：修复了 Maglev 负载均衡器在会话亲和性场景下的后端选择问题，确保流量能够正确保持会话状态。

3. 内存泄漏修复：解决了当 CNPs/CCNPs 禁用时服务事件导致的内存泄漏问题，提高了系统长期运行的稳定性。

4. 代理配置优化：修正了 proxy-max-concurrent-retries 的配置问题，并增加了 Envoy 访问日志缓冲区大小的可配置选项，为大规模部署提供了更好的调优能力。

集群网格与多集群支持

集群网格功能在这个版本中获得了多项增强：

1. 双栈支持：为 MCS-API 添加了双栈(IPv4/IPv6)支持，并修复了无头服务的规范合规性问题。

2. 服务导出缓存：解决了 MCS-API 服务导出缓存未正确删除的问题，同时增加了对 targetPort 的支持。

3. 新增隐藏标志：引入了 --allow-unsafe-policy-skb-usage 标志，为高级用户提供了更多控制选项。

端点管理与稳定性

在端点管理方面，本版本修复了两个关键问题：

1. 端点再生失败处理：修复了端点再生失败处理程序仅生效一次的问题。

2. 新端点卡死问题：解决了新添加端点可能永远卡在等待再生状态的问题，避免了由此导致的流量异常丢弃。

安装与配置变更

Helm 配置方面有一个重要变更：tls.secretsBackend 设置已被标记为弃用，建议用户迁移到 tls.readSecretsOnlyFromSecretsNamespace 设置。这个变更将在未来的 Cilium 版本中完全移除。

开发者与运维工具改进

1. CLI 输出优化：修复了空 egress 带宽和优先级配置的显示问题，使命令行输出更加清晰。

2. 文档完善：更新了多项文档内容，包括移除了 KPR+IPsec 的过时限制说明，增加了 BPF 主机路由的配置示例，以及澄清了身份相关标签的描述。

3. 构建系统改进：修复了文档生成过程中的并行构建问题，并确保安装错误不会被隐藏。

测试与验证增强

CI/CD 流水线在这个版本中获得了多项改进：

1. 升级测试覆盖：增加了加密隧道协议的升级测试场景。

2. 内存泄漏检测：在 conformance-ipsec-upgrade 测试中加入了泄漏检测。

3. 测试稳定性：改进了 Hubble Relay 服务的端口转发可靠性，并修复了 TestRestoredPort 的测试稳定性问题。

总结

Cilium 1.17.0-rc.2 版本在网络策略验证、性能优化和稳定性方面做出了重要改进，特别是解决了多个可能导致流量异常的关键问题。对于生产环境用户，建议特别关注端点管理和内存泄漏相关的修复。随着正式版的临近，这个候选版本已经展现出 Cilium 在云原生网络领域持续创新的能力，为即将到来的 1.17 稳定版奠定了坚实基础。